Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Uppdaterad | Publicerad - Sårbarhet

SR04-111 Oracle - flertalet sårbarheter

Publicerad: 040901
Senast uppdaterad: 051007

Problembeskrivning:
CVE-referens: CAN-2004-0637, CAN-2004-0638, CAN-2004-1362, CAN-2004-1363, CAN-2004-1364, CAN-2004-1365, CAN-2004-1366, CAN-2004-1367, CAN-2004-1368, CAN-2004-1369, CAN-2004-1370 och CAN-2004-1371

David Litchfield har 051006 på e-postlistan bugtraq kommenterat flera sårbarheter i Oracles produkter. Där beskrivs sårbarheter som Litchfield tidigare upptäckt och rapporterat till Oracle. Oracle har senare hävdat att dessa är korrigerade i samband med produktuppdateringen som presenterades 040831. Nu beskriver Litchfield att Oracles hantering av programrättningar för vissa sårbarheter varit undermåttliga, endast begränsade delar av sårbarheterna är korrigerade. Nedan beskrivs övergripande sårbarheterna som presenterades av Oracle 040831.

Ett flertal sårbarheter existerar i Oracle Database och Database Listener. Problemet ligger i funktionen för authentisering av användarnamn och lösenord. Denna sårbarhet gör det möjligt att ansluta till databasen utan att behöva ange kontoinformation och på så sätt ta över databasen.

Ett flertal icke specificerade sårbarheter existerar i Oracle Enterprise Manager. Oracle har uppskattat risken med dessa sårbarheter till medium. Ett konto på databasen krävs för att kunna exploatera dessa sårbarheter.

Ett flertal icke specificerade sårbarheter existerar i komponenterna Portal och iSQL*Plus i Oracle Application Server. Oracle har uppskattat risken med dessa sårbarheter till hög. Endast nätverksaccess krävs för att kunna utnyttja dessa sårbarheter.

Påverkade versioner:
De versioner som nämns nedan är i variernade grad drabbade av sårbarheterna nämnda ovan.
Oracle Database 10g Release 1, version 10.1.0.2
Oracle9i Database Server Release 2, version 9.2.0.4 och 9.2.0.5
Oracle9i Database Server Release 1, version 9.0.1.4, 9.0.1.5 och 9.0.1.5 FIPS
Oracle8i Database Server Release 3, version 8.1.7.4
Oracle8 Database Release 8.0.6, version 8.0.6.3
Oracle Enterprise Manager Grid Control 10g, version 10.1.0.2
Oracle Enterprise Manager Database Control 10g, version 10.1.0.2
Oracle Application Server 10g (9.0.4), version 9.0.4.0 och 9.0.4.1
Oracle9i Application Server Release 2, version 9.0.2.3 och 9.0.3.1
Oracle9i Application Server Release 1, version 1.0.2.2

Uppdatering:
Mjukvaruuppgraderingar finns tillgängliga hos Oracle för kunder med supportkontrakt. Dessa programrättningar korrigerar dock inte alla sårbarheter i sin helhet.
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=281189.1

Mer information:
http://otn.oracle.com/deploy/security/pdf/2004alert68.pdf
http://www.integrigy.com/alerts/OraAlert68OraAppsImpact.htm
http://www.idefense.com/applicat...?id=135&type=vulnerabilities
http://www.idefense.com/applicat...?id=136&type=vulnerabilities
http://www.red-database-security.com/advisory/advisory_20040903_1.html
http://www.red-database-security.com/advisory/advisory_20040903_2.html
http://www.red-database-security.com/advisory/advisory_20040903_3.html
http://www.appsecinc.com/resources/alerts/oracle/2004-0001/
http://www.pentest.co.uk/documents/ptl-2004-04.html
http://marc.theaimsgroup.com/?l=bugtraq&m=112861889230444&w=2

Versionshistorik:
040901: Särskilt råd skapat.
051007: Uppdaterade rådet utifrån information presenterad av David Litchfield och tillgänglig information från Oracle. Utöver det har länkar uppdaterats ytterligare.